La transformation digitale des entreprises obligent ou plutôt incitent nombreuses entreprises à réfléchir à la mise en place d'une solution d'hébergement CLOUD. Il faut néanmoins distinguer 2 types de CLOUD proposés sur le marché :
le CLOUD public
le CLOUD privé
Le CLOUD public
Définition
Le CLOUD public est une mutualisation des ressources. Les serveurs, stockage et réseau sont donc mutualisés.
L'éditeur devra s'appuyer sur une/des société(s) spécialisées en hébergement proposant toutes les garanties.
Les logiciels sont accessibles uniquement par internet via une adresse IP publique et un réseau sécurisé.
Des coûts dits "à risque"
Le modèle économique basé sur le paiement par répartition à effet immédiat est pratique, mais dilue l'attention porté au budget annuel, avec pour conséquence des coûts élevés, voire prohibitifs à moyen et long terme.
Associé à l'attrait logique mais "cosmétique" d'une offre "à tiroir", le coût financier mensuel/cumulé peut s'avérer exorbitant.
La Sécurité et le respect des lois fiscales : limites et risques
Certaines des données sociétés hébergées par des fournisseurs CLOUD public sont cruciales pour les entreprises. Ces données sont liées aux logiciels de :
la paie
la facturation
les pointages
En effet la loi commune vous obligent à la conservation sur une période minimale de 3 ans suivant des règles drastiques (cd. Contrôle fiscal des comptabilités informatisées) que l'entreprise ne peut plus occulter dans un monde de plus en plus digitalisée.
Les risques portent sur :
la protection et la confidentialité de vos données :
Le cas de pertes des données est une réalité réelle dans le monde du virtuel. Il faut donc choisir des offres incluant la réplication des données sur plusieurs serveurs, plus onéreuses que celles dont les données sont stockées sur un seul serveur, faillible en cas de panne.
La fiabilité et la pérennité des hébergeurs exposent les données hébergées en cas de cessation de l’activité. Plusieurs acteurs proposant des offres de stockage en ligne "financièrement intéressantes", donc un coût mensuel des logiciels hébergés très compétitif, ont fini par disparaître faute de rentabilité. Ces dernières années, ce fut le cas des hébergeurs B-Cloud, Ubunto One, Docs.com. Avec eux ont disparu les données des clients.
la sauvegarde de vos données : le fondement du FULL WEB en mode CLOUD public rend vos données :
"intransférables" en local et "inexploitables" en cas de défaillance d'accès aux serveurs (panne, défaillance de l'hébergeur, rupture de relations avec l'éditeur, etc...).
Vous ne pouvez donc jamais disposer de sauvegardes en votre société car vous ne disposerez jamais des logiciels pour les lire.
la réversibilité des données. le risque le plus important
Définition juridique d'après Alexis Baumann, avocat spécialisé en contrats informatiques (cf. www.dictionnaire-juridique.com) en partenariat avec Baumann Avocats Droit informatique
"La réversibilité est, dans les contrats informatiques la faculté pour le client (utilisateur du logiciel ou du système objet du contrat) de récupérer ses données lors de la cessation du contrat, ou plus généralement la faculté de reprendre, au terme du contrat, l'exploitation des données ou d'un logiciel ou même d'un système d'information complet, dans le cadre d'une migration chez un autre éditeur de progiciel, un autre infogérant, une autre infrastructure informatique (data center)..."
Il sera principalement question ici de la réversibilité concernant les données elles-mêmes, qui est la plus fréquemment rencontrée dans la pratique du droit de l'informatique.
La question de la réversibilité donne lieu à un important contentieux informatique car, sans ses données, l'utilisateur se trouve parfois dans l'impossibilité de poursuivre son activité, sauf à faire ressaisir l'ensemble de ses données manuellement, ce qui, à l'heure du « big data » devient de plus en plus difficilement imaginable : les systèmes d'information collectent, gèrent et génèrent, aujourd'hui, même dans une petite entreprise, un volume de données tel qu'il n'est généralement pas possible d'envisager une telle saisie manuelle.
Cette situation est même de plus en plus fréquente compte tenu de la tendance actuelle, des grandes entreprises mais également des PME, à externaliser le système informatique de l'entreprise pour des raisons de flexibilité, de productivité et de réduction des coûts : les DSI optent massivement pour la migration dans le cloud, la dématérialisation, la virtualisation ou la mutualisation de l'informatique.
Or, les contrats de licence de progiciels, les contrats Software-as-a-Service / SaaS, les contrats d'infogérance ou les contrats d'hébergement, qui sont souvent des contrats d'adhésion, rédigés par le prestataire de services informatiques et rarement négociés par le client (si ce n'est sur le prix), ne comportent souvent aucune clause de réversibilité et plus généralement aucune clause prévoyant le sort du client, de son système d'information et de ses données, à la fin du contrat.
L'utilisateur se trouve donc souvent en situation de « client captif » face à un prestataire très réticent à le laisser partir et à se priver de cette source de chiffre d'affaires.
Le prestataire invoque alors le fait qu'il appartenait au client de sauvegarder ses données (ce qui n'est pas toujours matériellement possible dans les solutions hébergées, notamment les logiciels SaaS) ou encore le fait qu'ayant saisi ses données, le client peut les ressaisir (ce qui est faire abstraction, notamment, des données générées par le logiciel à partir des données saisies).
Il est donc indispensable, notamment dans tous les contrats informatiques où le client est « dépossédé » de ses données (contrats d'externalisation, cloud computing : SaaS, IaaS ou PaaS), de prévoir une clause de réversibilité, la plus précise possible.
Une telle clause est tout aussi nécessaire dans les contrats où le logiciel ou la solution informatique est exploitée dans les locaux du client (on-premise) mais où les données ne sont pas directement accessibles et exploitables (par exemple : bases de données cryptées, structure de données complexe et non documentée).
Cette clause doit notamment prévoir le coût de la réversibilité : on distingue souvent selon que c'est le client ou le prestataire qui est à l'origine de la rupture du contrat, selon que le contrat est résilié aux torts de l'un ou de l'autre. Le coût peut aussi varier selon la durée pendant laquelle le contrat est resté en vigueur (prix dégressif), ou selon le volume de données à exporter.
La clause doit également prévoir le support et le format de restitution des données : le client devra en effet ensuite réimporter ses données dans un nouveau logiciel ou un nouveau système d'information et il est impératif que le client ou son nouveau prestataire puisse comprendre la structure des données, pour effectuer la migration des données vers le nouveau système. On prévoit donc généralement dans la clause de réversibilité que le prestataire informatique ou l'éditeur du logiciel devra fournir non seulement les données elles-mêmes, dans un format facilement exploitable, mais également le « modèle de données ».
Il importe que les données restituées par l'ancien prestataire soient exhaustives. Il faut donc prévoir que l'intégralité des données devra être restituée : non seulement les données saisies par le client, mais également les données fournies par les tiers (par exemple par le biais d'interfaces entrantes), et surtout les données générées par le logiciel sur la base des données saisies.
(Définition rédigée par Alexis Baumann, avocat spécialisé en contrats informatiques)
Conclusion
Le CLOUD peut être une solution mais elle doit être complètement sécurisée et garante de la pérennité de votre société. Le CLOUD public n'apporte pas toutes ses garanties.